Configuration des règles prédéfinies d'une tâche

Pour configurer les paramètres de fonctionnement de l'analyse heuristique pour la tâche Inspection des journaux, procédez comme suit :

1. Dans l'arborescence de la console de l'application, développez le nœud Diagnostic du système.
2. Choisissez le nœud enfant Inspection des journaux.
3. Dans le volet résultats du nœud Inspection des journaux, cliquez sur le lien Propriétés.

   La fenêtre Paramètres de la tâche s'ouvre.

4. Sélectionnez l'onglet Règles prédéfinies.
5. Cochez ou décochez la case Inspecter les journaux selon les règles prédéfinies.
   

   Si cette case est cochée, Kaspersky Security for Windows Server applique l'analyse heuristique pour détecter toute activité anormale sur le périphérique protégé.

   Si cette case n'est pas cochée, l'analyse heuristique est désactivée, Kaspersky Security for Windows Server utilise les règles prédéfinies ou définies par l'utilisateur pour détecter les activités anormales.

   Cette case est cochée par défaut.

   Pour que la tâche fonctionne, il faut sélectionner au moins une règle d'inspection des journaux.

6. Sélectionnez les règles que vous souhaitez appliquer dans la liste des règles prédéfinies :
   • Tentative d'attaque brute-force dans le système.
   • Des signes d'abus potentiel du journal des événements Windows ont été détectés.
   • Des actions suspectes émanant d'un nouveau service installé ont été détectées.
   • Une authentification suspecte avec des identifiants explicites a été détectée.
   • Le système affiche les signes d'une éventuelle attaque Kerberos forged PAC (MS14-068).
   • Des actions suspectes contre un groupe Administrateurs privilégié intégré ont été détectées.
   • Une activité suspecte a été détectée lors d'une session de connexion au réseau.
7. Pour configurer les règles sélectionnées, accédez à l'onglet Étendue.
8. Dans la section Détection des attaques brute-force, définissez le nombre de tentatives et la plage temporelle que l'analyse heuristique va utiliser comme déclencheurs.
9. Dans la section Connexion au réseau, définissez le début et la fin de l'intervalle de temps pendant lequel Kaspersky Security for Windows Server considère une tentative d'ouverture de session comme une activité anormale.
10. Sélectionnez l'onglet Exclusions.
11. Pour ajouter des utilisateurs considérés comme des utilisateurs de confiance, procédez comme suit :
    1. Cliquez sur le bouton Parcourir.
    2. Choisissez l'utilisateur.
    3. Cliquez sur le bouton OK.

       L'utilisateur sélectionné est ajouté à la liste des utilisateurs de confiance.

12. Pour ajouter les adresses IP à considérer comme adresses de confiance, procédez comme suit :
    1. Saisissez l'adresse IP.
    2. Cliquez sur Ajouter.

       L'adresse IP indiquée est ajoutée à la liste des adresses IP de confiance.

13. Sous les onglets Planification et Avancé, configurez les paramètres de planification du lancement de la tâche.
14. Dans la fenêtre Paramètres de la tâche, cliquez sur le bouton OK.

    Les paramètres de la tâche Inspection des journaux sont enregistrés.